Riciclare le password apre la porta al credential stuffing esponendo utenti e aziende a diversi problemi. Sabrina Curti, Marketing Director di ESET Italia , ne spiega i pericoli e suggerisce alcune misure per ridurre i rischi.
Riutilizzare la stessa password su più account può risultare comodo, ma espone a rischi che possono propagarsi rapidamente in tutta la propria vita digitale. Questa cattiva abitudine crea infatti le condizioni ideali per il credential stuffing. Ovvero una tecnica in cui i criminali utilizzano elenchi di credenziali di accesso già compromesse e inseriscono sistematicamente le coppie username-password nei campi di login di servizi online selezionati.
Una chiave che purtroppo può aprire molte porte
Quando le stesse credenziali vengono riciclate su più piattaforme, una sola combinazione può consentire l’accesso a servizi tra loro del tutto scollegati. Il credential stuffing può essere paragonato all’equivalente digitale di una chiave universale capace di aprire casa, ufficio e cassaforte in un solo colpo. E reperire quella chiave non è affatto difficile. Può provenire da violazioni di dati avvenute in passato, dai mercati del cybercrime oppure da malware infostealer, progettati per sottrarre credenziali direttamente dai dispositivi compromessi e dai browser web.
Credential stuffing, perché è così pericoloso ed efficace
Il motivo principale della sua efficacia è, come ormai evidente, la diffusa abitudine a riutilizzare le password, anche per account di particolare valore come quelli di online banking, email, social, siti di e-commerce. A dimostrazione di quanto il fenomeno sia comune, una un’indagine condivisa da NordPassha rilevato che il 62% degli utenti Usa ammette di riutilizzare spesso o sempre la stessa password. Una volta ottenute credenziali valide, gli attaccanti possono provarle ovunque. Il tutto sfruttando bot o strumenti automatizzati che ‘riempiono’ moduli di login o API, talvolta ruotando gli indirizzi IP e simulando il comportamento di utenti legittimi per evitare sospetti.
Rispetto agli attacchi di tipo brute force, che tentano di indovinare le password attraverso combinazioni casuali o comuni e che possono essere individuati grazie ai numerosi tentativi falliti, il credential stuffing è più semplice ed efficace. Infatti utilizza credenziali già valide e spesso riesce a rimanere sotto traccia.
L’intelligenza artificiale in aiuto dei criminali
Sebbene non sia una tecnica nuova, alcuni trend recenti ne hanno amplificato l’impatto. Il volume dei malware infostealer è cresciuto in modo significativo, consentendo la raccolta silenziosa di credenziali direttamente dai browser web e rappresentando in alcuni casi una minaccia anche per i password manager. Parallelamente, gli attaccanti fanno sempre più ricorso a script, anche assistiti dall’AI, in grado di imitare il comportamento umano e aggirare le difese di base contro i bot. Testando così grandi quantità di credenziali in modo sempre più discreto e su larga scala.
Come proteggersi a livello individuale
Alcune misure pratiche possono ridurre in modo significativo il rischio. La più semplice, ma anche la più importante, consiste nel non riutilizzare mai la stessa password su più siti o servizi. L’uso di un password manager consente di generare e conservare password robuste e uniche per ogni account senza difficoltà. È inoltre fondamentale attivare l’autenticazione a due fattori ogni volta che è disponibile: anche se la password viene compromessa, l’accesso resta bloccato senza il secondo fattore.
Alcuni accorgimenti contro il credential stuffing
Un ulteriore accorgimento consiste nel verificare periodicamente, tramite servizi come haveibeenpwned.com, se il proprio indirizzo email o le proprie credenziali siano comparsi in violazioni passate. In caso positivo, è necessario intervenire immediatamente cambiando le password, soprattutto per gli account che gestiscono dati sensibili.
Cosa possono fare le aziende per contrastare il credential stuffing
Oggi il credential stuffing rappresenta uno dei principali vettori di account takeover, frodi e furti di dati su larga scala in numerosi settori, dal retail alla finanza, dal SaaS alla sanità. Molte organizzazioni continuano a fare affidamento esclusivamente sulle password e, anche quando l’autenticazione a due fattori è disponibile, non sempre viene imposta di default. È quindi opportuno limitare i tentativi di accesso, adottare allow-list di rete o whitelist di indirizzi IP, monitorare i comportamenti di login anomali. Inoltre implementare sistemi di rilevamento dei bot o CAPTCHA per contrastare gli abusi automatizzati. Un numero crescente di aziende sta inoltre introducendo forme di autenticazione passwordless, come le passkey, che rendono di fatto inefficace il credential stuffing.
Necessario passare a pratiche più corrette di gestione delle password
Tuttavia, l’adozione non è ancora uniforme e le abitudini consolidate sono difficili da cambiare. Motivo per cui questa tecnica continua a garantire agli attaccanti un ritorno elevato con uno sforzo minimo. Milioni di credenziali sottratte restano infatti valide per anni, soprattutto quando gli utenti non provvedono a modificare le proprie password dopo una violazione. Il credential stuffing è una tecnica di attacco sorprendentemente semplice, a basso costo e altamente scalabile. Funziona perché sfrutta le abitudini degli utenti e aggira meccanismi di protezione ormai superati. In assenza di un passaggio completo a modelli passwordless, il rischio di compromissione degli account può essere drasticamente ridotto solo attraverso pratiche corrette di gestione delle password. Non si tratta di misure opzionali, ma di comportamenti che dovrebbero diventare la norma.
